Zlonamerna programska oprema MixShell

Do leta Mezo leta Zlonamerna programska oprema

Prevedi v:

Raziskovalci kibernetske varnosti so odkrili sofisticirano operacijo socialnega inženiringa z kodnim imenom ZipLine, ki izkorišča prikrito zlonamerno programsko opremo v pomnilniku, znano kot MixShell. Kampanja je namenjena predvsem proizvodnim podjetjem, ki so ključnega pomena za dobavno verigo, in predstavlja naraščajoči trend napadalcev, ki izkoriščajo zaupanja vredne poslovne poteke dela namesto tradicionalnih metod lažnega predstavljanja.

Kazalo

Od kontaktnih obrazcev do kompromisa

Za razliko od običajnih phishing napadov, ki se izvajajo prek neželenih e-poštnih sporočil, operaterji ZipLine začnejo vdor prek obrazca »Kontaktirajte nas« podjetja. Ta subtilen pristop že od samega začetka vzpostavlja verodostojnost. Sledi večtedenska izmenjava profesionalne in prepričljive komunikacije, pogosto podkrepljena z izmišljenimi sporazumi o nerazkrivanju podatkov, preden napadalci dostavijo zlonamerno ZIP arhivo, ki vsebuje MixShell.

Ta taktika gradnje potrpežljivega zaupanja loči ZipLine od kampanj, ki jih vodi strašenje. V nekaterih primerih napadalci svoj pristop celo uokvirijo okoli pobud, ki jih vodi umetna inteligenca, in se predstavijo kot partnerji, ki lahko pomagajo zmanjšati stroške in povečati učinkovitost.

Kdo je na meti?

Ciljna usmerjenost ZipLinea je široka, vendar osredotočena na organizacije s sedežem v ZDA znotraj panog, ki so ključne za dobavno verigo. Med prizadetimi regijami so tudi Singapur, Japonska in Švica.

Ključni ciljni sektorji vključujejo:

Industrijska proizvodnja (stroji, kovinski izdelki, komponente, inženirski sistemi)
Strojna oprema in polprevodniki
Biotehnologija in farmacija
Proizvodnja potrošniškega blaga

Napadalci uporabljajo tudi domene, ki posnemajo družbe z omejeno odgovornostjo, registrirane v ZDA, včasih pa prenameščajo domene legitimnih, a neaktivnih podjetij. Ta klonirana spletna mesta kažejo na zelo strukturirano in obsežno operacijo.

Anatomija napadalne verige

Uspeh ZipLinea leži v večstopenjskem procesu okužbe, zasnovanem za prikritost in vztrajnost. ZIP arhivi, ki so orožje, so običajno gostovani na Herokuapp.com, legitimni storitvi v oblaku, kar pomaga, da se zlonamerna programska oprema zlije z običajno omrežno aktivnostjo.

Proces okužbe vključuje:

Bližnjica sistema Windows (LNK) znotraj datoteke ZIP sproži nalagalnik PowerShell.
Nalagalnik namesti MixShell, prilagojen vsadek, ki se v celoti izvaja v pomnilniku.

MixShell komunicira prek tuneliranja DNS (z rezervnim HTTP), kar omogoča oddaljeno izvajanje ukazov, manipulacijo datotek, obratno posredovanje, vztrajnost in omrežno infiltracijo.

Nekatere različice vključujejo tehnike za preprečevanje odpravljanja napak in izogibanje peskovniku ter načrtovane naloge za ohranjanje vztrajnosti.

Omeniti velja, da datoteka LNK zažene tudi vabljivi dokument, ki dodatno prikrije zlonamerno vedenje.

Povezave do prejšnjih groženj

Raziskovalci so odkrili prekrivanja med digitalnimi potrdili, ki se uporabljajo v infrastrukturi ZipLine, in tistimi, ki so povezana z napadi TransferLoader, ki jih pripisujejo skupini groženj z imenom UNK_GreenSec. Čeprav pripisovanje ostaja negotova, ta povezava namiguje na dobro organiziranega in iznajdljivega akterja s predhodnimi izkušnjami v obsežnih kampanjah.

Tveganja kampanje ZipLine

Posledice uspešne okužbe z virusom MixShell so lahko hude, od kraje intelektualne lastnine in ogrožanja poslovne e-pošte do incidentov z izsiljevalsko programsko opremo in motenj v dobavni verigi. Glede na naravo ciljnih panog bi se lahko vpliv razširil preko posameznih podjetij na celotne proizvodne ekosisteme.

Obrambni ukrepi: Kako ostati korak pred družbeno inženirskimi grožnjami

Kampanja ZipLine poudarja, kako kibernetski kriminalci uvajajo inovacije, izkoriščajo človeško psihologijo, zaupanja vredne komunikacijske kanale in teme, povezane z umetno inteligenco, za izkoriščanje zaupanja.

Da bi se organizacije spopadle s takimi grožnjami, morajo:

Sprejmite preventivne obrambne mehanizme, ki so sposobni zaznati nepravilno vedenje.
Usposobite zaposlene, da k vsakemu vhodnemu povpraševanju pristopijo s skepticizmom, ne glede na uporabljeni kanal.
Uveljavljajte stroge politike ravnanja z datotekami, zlasti v zvezi z arhivi ZIP in datotekami bližnjic.
Okrepite spremljanje komunikacijskih anomalij na osnovi DNS, ki lahko kažejo na tuneliranje.

Vzpostavljanje kulture budnosti je ključnega pomena. Zaupanje, ko je enkrat uporabljeno kot orožje, postane eno najučinkovitejših orodij v napadalčevem arzenalu.

EnigmaSoftov plačilni procesor Digital River GmbH Prijava stečaja ne vpliva na zaščito strank SpyHunter pred zlonamerno programsko opremo

Iskanje

Spremeni regijo

Zlonamerna programska oprema MixShell

Od kontaktnih obrazcev do kompromisa

Kdo je na meti?

Anatomija napadalne verige

Povezave do prejšnjih groženj

Tveganja kampanje ZipLine

Obrambni ukrepi: Kako ostati korak pred družbeno inženirskimi grožnjami

Pošlji komentar

V trendu

SmartFunctionSearch

Getdispadsshop.com

Izsiljevalska programska oprema LockBeast

Najbolj gledan

Kaj je 'msedgewebview2.exe'?

Zlonamerna programska oprema

E-poštna prevara 'Geek Squad'